Configurare il client VPN di Azure per le connessioni di autenticazione del certificato da punto a sito - Windows
Se il gateway VPN da punto a sito è configurato per usare OpenVPN e l'autenticazione del certificato, è possibile connettersi alla rete virtuale usando il client VPN di Azure. Questo articolo illustra la procedura per configurare il client VPN di Azure e connettersi alla rete virtuale.
Operazioni preliminari
Prima di iniziare la procedura di configurazione del client, verificare che sia visualizzato l'articolo sulla configurazione del client VPN corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da punto a sito del Gateway VPN. Le procedure variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.
| Autenticazione | Tipo di tunnel | Sistema operativo client | Client VPN |
|---|---|---|---|
| Certificate | |||
| IKEv2, SSTP | Finestre | Client VPN nativo | |
| IKEv2 | macOS | Client VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Finestre | Client VPN di Azure Client OpenVPN versione 2.x Client OpenVPN versione 3.x |
|
| OpenVPN | macOS | Client OpenVPN | |
| OpenVPN | iOS | Client OpenVPN | |
| OpenVPN | Linux | Client VPN di Azure Client OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Finestre | Client VPN di Azure | |
| OpenVPN | macOS | Client VPN di Azure | |
| OpenVPN | Linux | Client VPN di Azure |
Prerequisiti
Questo articolo presuppone che l'utente abbia già eseguito i prerequisiti seguenti:
- Il gateway VPN è stato creato e configurato per l'autenticazione del certificato da punto a sito e per il tipo di tunnel OpenVPN. Vedere Configurare le impostazioni del server per le connessioni del gateway VPN da punto a sito: autenticazione del certificato per la procedura.
- Sono stati generati e scaricati i file di configurazione del client VPN. Vedere Generare file di configurazione del profilo client VPN per la procedura.
- È possibile generare certificati client o acquisire i certificati client appropriati necessari per l'autenticazione.
Requisiti di connessione
Per connettersi ad Azure, per ogni computer client che si connette sono necessari gli elementi seguenti:
- Il software client VPN di Azure deve essere installato in ogni computer client.
- Il profilo client VPN di Azure viene configurato usando le impostazioni contenute nel file di configurazione azurevpnconfig.xml o azurevpnconfig_cert.xml scaricato.
- Il computer client deve avere un certificato client installato localmente.
Generare e installare certificati client
Per l'autenticazione del certificato, è necessario installare un certificato client in ogni computer client. Il certificato client che si vuole usare deve essere esportato con la chiave privata e deve contenere tutti i certificati nel percorso di certificazione. Inoltre, per alcune configurazioni, è anche necessario installare le informazioni sul certificato radice.
- Per informazioni sull'uso dei certificati, vedere Da punto a sito: Generare certificati.
- Per visualizzare un certificato client installato, aprire Gestire i certificati utente. Il certificato client è installato in Utente corrente\Personale\Certificati.
Installare il certificato client
Ogni client deve avere un certificato client per poter eseguire l'autenticazione. Se il certificato client non è già installato nel computer locale, è possibile installarlo seguendo questa procedura:
- Individuare il certificato client. Per altre informazioni sui certificati client, vedere Installare i certificati client.
- Installare il certificato client. In genere, per questa operazione è sufficiente fare doppio clic sul file del certificato e specificare una password (se richiesta).
Visualizzare i file di configurazione
Il pacchetto di configurazione del profilo client VPN contiene cartelle specifiche. I file all'interno delle cartelle contengono le impostazioni necessarie per configurare il profilo client VPN nel computer client. I file e le impostazioni che contengono sono specifici per il gateway VPN e il tipo di autenticazione e di tunnel che sono stati configurati per il gateway VPN.
Individuare e decomprimere il pacchetto di configurazione del profilo client VPN generato. Per l'autenticazione del certificato e OpenVPN, dovrebbe essere presente una cartella AzureVPN. In questa cartella verranno visualizzati il file azurevpnconfig_cert.xml o il file azurevpnconfig.xml, a seconda che la configurazione da punto a sito includa più tipi di autenticazione. Il file XML contiene le impostazioni da usare per configurare il profilo client VPN.
Se non viene visualizzato alcun file o non si dispone di una cartella AzureVPN, verificare che il gateway VPN sia configurato per usare il tipo di tunnel OpenVPN e che sia selezionata l'autenticazione del certificato.
Scaricare il client VPN di Azure
Scaricare la versione più recente dei file di installazione del client VPN di Azure usando uno dei collegamenti seguenti:
- Installare usando i file di installazione client: https://aka.ms/azvpnclientdownload.
- Installare direttamente, quando è stato eseguito l'accesso in un computer client: Microsoft Store.
Installare il client VPN di Azure in ogni computer.
Verificare che il client VPN di Azure disponga dell'autorizzazione per l'esecuzione in background. Per i passaggi, vedere App in background di Windows.
Per verificare la versione del client installata, aprire il client VPN di Azure. Passare alla parte inferiore del client e fare clic su ... -> ? Guida. Nel riquadro a destra è possibile visualizzare il numero di versione del client.
Configurare il profilo del client VPN di Azure
Aprire il client VPN di Azure.
Selezionare + nella parte inferiore sinistra della pagina, quindi selezionare Importa.
Nella finestra passare al file azurevpnconfig.xml o azurevpnconfig_cert.xml. Selezionare il file e quindi selezionare Apri.
Nella pagina del profilo client si noti che molte delle impostazioni sono già specificate. Le impostazioni preconfigurate sono contenute nel pacchetto del profilo client VPN importato. Anche se la maggior parte delle impostazioni è già specificata, è necessario configurare le impostazioni specifiche per il computer client.
Nell'elenco a discesa Informazioni sul certificato selezionare il nome del certificato figlio (certificato client). Ad esempio, P2SChildCert. Facoltativamente, è anche possibile selezionare un Profilo secondario. Per questo esercizio, selezionare Nessuno.
Se non viene visualizzato un certificato client nell'elenco a discesa Informazioni sul certificato, è necessario annullare l'operazione e risolvere il problema prima di procedere. È possibile che il problema sia causato da uno dei fattori seguenti:
- Il certificato client non è installato localmente nel computer client.
- Nel computer locale sono installati più certificati esattamente con lo stesso nome (scenario comune negli ambienti di test).
- Il certificato figlio è danneggiato.
Dopo la convalida dell'importazione (importazione senza errori), selezionare Salva.
Nel riquadro sinistro individuare la Connessione VPN e quindi selezionare Connetti.
Impostazioni facoltative per il client VPN di Azure
Le sezioni seguenti illustrano le impostazioni di configurazione facoltative disponibili per il client VPN di Azure.
Profilo secondario
Il client VPN di Azure offre disponibilità elevata per i profili client. L'aggiunta di un profilo client secondario offre al client un modo più resiliente per accedere alla VPN. Se si verifica un'interruzione di servizio nell'area o un errore di connessione al profilo client VPN primario, il client VPN di Azure si connetterà automaticamente al profilo client secondario senza alcuna interruzione.
Questa funzionalità richiede la versione del client VPN di Azure 2.2124.51.0 o successiva. Per questo esempio, si aggiungerà un profilo secondario a un profilo già esistente.
Usando le impostazioni in questo esempio, se il client non riesce a connettersi a VNet1, si connetterà automaticamente a Contoso senza causare interruzioni.
Aggiungere un altro profilo client VPN al client VPN di Azure. Per questo esempio è stato importato un file di profilo client VPN ed è stata aggiunta una connessione a Contoso.
Passare quindi al profilo di VNet1, fare clic su "..." e quindi su Configura.
Nell'elenco a discesa Profilo secondario selezionare il profilo per Contoso. Fare quindi clic su Salva per salvare le impostazioni.
Impostazioni personalizzate: DNS e routing
È possibile configurare il client VPN di Azure con impostazioni di configurazione facoltative, ad esempio più server DNS, DNS personalizzato, tunneling forzato, route personalizzate e altre impostazioni. Per una descrizione delle impostazioni e delle procedure di configurazione disponibili, vedere Impostazioni facoltative del client VPN di Azure.
Passaggi successivi
Continuare configurando eventuali impostazioni aggiuntive per il server o la connessione. Vedere Procedura di configurazione da punto a sito.